- Published on
KI-Kompetenz: Art. 4 EU AI Act in der Praxis umsetzen
- Authors

- Name
- Tails Azimuth
Während die großen Pflichtenkataloge des EU AI Act — Risikomanagement, technische Dokumentation, Qualitätsmanagement — viel Aufmerksamkeit bekommen, wird eine der am frühesten anwendbaren Vorschriften in der Praxis oft übersehen: Artikel 4 EU AI Act verpflichtet Provider und Deployer, ein angemessenes Maß an KI-Kompetenz ihres Personals sicherzustellen. Die Vorschrift gilt bereits seit dem 2. Februar 2025 — und sie betrifft praktisch jedes Unternehmen, das KI-Systeme entwickelt oder einsetzt, unabhängig von der Risikoklasse.
Was Art. 4 tatsächlich verlangt
Der Wortlaut von Art. 4 der Verordnung (EU) 2024/1689 ist knapp: Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um „nach besten Kräften" sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.
Drei Punkte sind dabei entscheidend:
Erstens: Die Pflicht ist kontextabhängig. Art. 4 nennt ausdrücklich die technischen Kenntnisse, Erfahrung, Ausbildung und Schulung der Personen sowie den Kontext, in dem die KI-Systeme eingesetzt werden sollen. Ein Sachbearbeiter, der Ergebnisse eines Assistenzsystems plausibilisiert, braucht eine andere Kompetenztiefe als ein Data Scientist, der ein Hochrisiko-System parametrisiert.
Zweitens: Die Pflicht gilt risikoklassenunabhängig. Anders als die Kapitel-III-Pflichten für Hochrisiko-Systeme knüpft Art. 4 nicht an eine Einstufung an. Auch wer ausschließlich Systeme mit begrenztem oder minimalem Risiko einsetzt, muss KI-Kompetenz sicherstellen.
Drittens: „Nach besten Kräften" ist kein Freibrief. Die Formulierung eröffnet Spielraum bei der Ausgestaltung, nicht bei der Frage, ob überhaupt etwas getan wird. Wer im Aufsichts- oder Streitfall nichts vorweisen kann — kein Konzept, keine Schulungsnachweise, keine Rollenzuordnung — wird sich schwer darauf berufen können, sein Bestes versucht zu haben.
Wen die Pflicht trifft — und wen sie oft überrascht
Betroffen sind beide Rollen der Wertschöpfungskette: Provider (Anbieter), die KI-Systeme entwickeln und in Verkehr bringen, und Deployer (Betreiber), die sie unter eigener Verantwortung einsetzen. In der Praxis überrascht die Pflicht vor allem drei Gruppen:
Unternehmen, die KI „nur nutzen" — etwa generative Assistenten in Marketing, Einkauf oder HR — und sich deshalb nicht als Adressat der Verordnung sehen. Sobald KI-Systeme im geschäftlichen Kontext eingesetzt werden, ist die Deployer-Rolle in der Regel eröffnet.
Unternehmen außerhalb der EU, deren KI-Output in der EU verwendet wird. Für Kunden in DE und im EU27-Rest greift die Verordnung direkt; Unternehmen in der Schweiz und im Vereinigten Königreich können über den Marktortbezug in den Anwendungsbereich fallen.
Und schließlich Unternehmen, die Schulung mit einer einmaligen Awareness-Kampagne verwechseln. KI-Kompetenz ist kein Einmal-Event, sondern eine dauerhafte organisatorische Fähigkeit — Systeme, Anwendungsfälle und Personal ändern sich laufend.
Warum „nachweisbar" das Schlüsselwort ist
Art. 4 selbst schreibt keine Zertifikate und kein bestimmtes Schulungsformat vor. Aber die Vorschrift steht nicht isoliert: Bei Hochrisiko-Systemen verlangt Art. 26 EU AI Act, dass Betreiber die menschliche Aufsicht Personen übertragen, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügen. Und im Fall einer Marktüberwachungsanfrage oder eines Schadensfalls zählt nicht, was ein Unternehmen getan hat, sondern was es belegen kann.
Der praktische Maßstab lautet daher: KI-Kompetenz muss als Evidenz vorliegen — dokumentierte Rollenprofile, absolvierte Schulungen mit Datum und Inhalt, Auffrischungszyklen, Kompetenznachweise für Aufsichtsfunktionen. Wer ein AI-Management-System nach ISO/IEC 42001 aufbaut, hat dafür bereits den passenden Rahmen: Die Norm behandelt Kompetenz und Bewusstsein als Bestandteil des Managementsystems, und der AIMS-Reifegrad eines Unternehmens zeigt sich genau daran, ob solche Nachweise systematisch entstehen oder ad hoc zusammengesucht werden müssen.
Ein Praxis-Programm in vier Schritten
Schritt 1: Betroffene Rollen identifizieren. Grundlage ist das KI-Systeminventar: Welche Systeme sind im Einsatz, wer entwickelt, betreibt, beaufsichtigt und nutzt sie? Daraus ergeben sich Rollencluster — etwa Entwicklung, Fachanwendung, menschliche Aufsicht, Management/Governance.
Schritt 2: Kompetenzprofile je Rolle definieren. Nicht jede Rolle braucht dasselbe. Sinnvoll ist eine Matrix: Grundlagenwissen (Funktionsweise, Grenzen, typische Fehlerbilder von KI) für alle Nutzer; vertieftes Wissen zu Pflichten und Aufsichtsmechanismen für Personen mit Kontrollfunktion; regulatorische und technische Tiefe für Governance- und Entwicklungsrollen.
Schritt 3: Schulungen durchführen und dokumentieren. Format ist frei — entscheidend sind Inhalt, Teilnahmenachweis und Wiederholungszyklus. Neue Mitarbeitende, neue Systeme und wesentliche Systemänderungen sollten Schulungstrigger sein, nicht nur der Kalender.
Schritt 4: Wirksamkeit prüfen und nachsteuern. Kurze Wissensabfragen, Auswertung von Vorfällen und Nutzerfehlern, Feedback aus der Fachanwendung. Die Ergebnisse fließen zurück in die Profile aus Schritt 2 — damit wird aus der Einmalmaßnahme ein Regelkreis.
Wer diese vier Schritte in sein Managementsystem integriert, erfüllt nicht nur Art. 4, sondern legt zugleich das Fundament für die menschliche Aufsicht nach Art. 14 und die Betreiberpflichten nach Art. 26 — dort wird dieselbe Kompetenz konkret abgerufen. Für Personal, das Hochrisiko-Systeme bedient oder beaufsichtigt, lohnt ein Blick auf die Use-Case-spezifischen Anforderungen; mehr dazu auf hochrisiko-ki.com.
Zeitliche Einordnung: gilt jetzt, zählt spätestens 2027
Art. 4 ist seit dem 2. Februar 2025 anwendbar — die KI-Kompetenz-Pflicht besteht also bereits heute. Ihre volle praktische Bedeutung entfaltet sie mit dem Enforcement des EU AI Act am 02.12.2027 (Digital Omnibus): Ab dann prüfen Marktüberwachungsbehörden die Hochrisiko-Pflichten, in denen Kompetenznachweise an mehreren Stellen vorausgesetzt werden. Unternehmen, die jetzt mit Rollenmatrix und dokumentierten Schulungen starten, haben bis dahin zwei vollständige Schulungszyklen als belastbare Evidenz aufgebaut — statt kurz vor dem Stichtag mit einer Awareness-Folienschlacht zu improvisieren.
KI-Kompetenz ist damit ein typisches Beispiel für den Unterschied zwischen Compliance-Aktivismus und Trust-Infrastructure: Nicht die Schulung selbst schafft Vertrauen, sondern der nachvollziehbare, dokumentierte Nachweis, dass die richtigen Personen zur richtigen Zeit das richtige Wissen hatten.
Mehr zu evidence-based AI Trust und wie Kompetenznachweise Teil eines audit-ready AIMS werden: aegira.ai.